Prácticas recomendadas de Cloud IDS

En esta página se describen las prácticas recomendadas para configurar Cloud IDS.

Cloud IDS es un servicio de detección de intrusos que permite detectar amenazas de intrusiones, malware, software espía y ataques de comando y control en tu red. Cloud IDS usa un recurso denominado endpoint de IDS, un recurso zonal que puede inspeccionar el tráfico de cualquier zona de su región. Cada endpoint de IDS recibe tráfico duplicado y realiza análisis de detección de amenazas.

Desplegar puntos finales de IDS

• Crea un endpoint de IDS en cada región que quieras monitorizar con Cloud IDS. Puedes crear varios endpoints de IDS para cada región.
• Cloud IDS puede tardar hasta 20 minutos en crear y configurar los cortafuegos.
• Durante la creación del endpoint de IDS, debes elegir un nivel de gravedad de las alertas. Para conseguir la máxima visibilidad, te recomendamos el nivel informational.
• Si usas la página Replicación de paquetes de la consola Google Cloud para crear una política de replicación de paquetes, asegúrate de habilitar la opción Permitir el tráfico de entrada y de salida.

  Ir a Replicación de paquetes

• Si usas la página Cloud IDS para configurar un endpoint de IDS, no tienes que habilitar la opción Permitir el tráfico de entrada y de salida, ya que está habilitada automáticamente.

  Ir al panel de control de Cloud IDS

Puede usar Cloud IDS para crear un endpoint de IDS en cada región que quiera monitorizar. Puedes crear varios endpoints de IDS para cada región. Cada endpoint de IDS tiene una capacidad de inspección máxima de 5 Gbps. Aunque cada endpoint de IDS puede gestionar picos de tráfico anómalos de hasta 17 Gbps, te recomendamos que configures un endpoint de IDS por cada 5 Gbps de rendimiento que experimente tu red.

Adjuntar políticas de replicación de paquetes

• Te recomendamos que asocies más de una política de replicación de paquetes a un endpoint de IDS cuando quieras replicar el tráfico de varios tipos de fuentes, como subredes, instancias o etiquetas de red. Solo puedes replicar el tráfico de subredes que estén en la misma región que el endpoint de IDS.
• Elige solo las subredes cuyo tráfico quieras replicar en Cloud IDS.

Optimización de costes

Cloud IDS aplica un coste fijo por cada endpoint de IDS y un coste variable en función del volumen de tráfico inspeccionado. Si no se planifica con cuidado, se puede replicar e inspeccionar todo el tráfico de red de una nube privada virtual (VPC), lo que puede provocar facturas inesperadamente altas. Para controlar los gastos, te recomendamos que hagas lo siguiente:

• Conocer los requisitos específicos de seguridad y cumplimiento para seleccionar con criterio qué VPCs, regiones, subredes y, lo que es más importante, qué flujos de tráfico necesitan realmente inspección.
• Empieza con una inspección mínima de los recursos críticos y ve ampliándola gradualmente.
• Usa filtros de replicación de paquetes para controlar con precisión la cantidad de tráfico procesado y, de este modo, reducir significativamente el coste variable.

En el siguiente ejemplo se ajusta la política de replicación de paquetes de Cloud IDS para optimizar los costes:

Supongamos que necesitas inspeccionar el tráfico de VPC-x y subnet-x, y que solo se debe inspeccionar el tráfico hacia o desde Internet. Tú tomas esta decisión en función de tus requisitos de seguridad y cumplimiento. Supongamos también que solo es necesario inspeccionar las instancias de máquina virtual (VM) orientadas a Internet de la subred x.

1. Etiqueta las VMs orientadas a Internet con tag-x.
2. Usa los intervalos de direcciones IP de enrutamiento de interdominios sin clases (CIDR) en la política de creación de reflejo de paquetes para inspeccionar todo el tráfico entre las VMs etiquetadas con tag-x e Internet. Como la negación no se admite con la creación de reflejo de paquetes, debes crearla de otra forma. Supongamos que esta VPC usa el CIDR 10.0.0.0/8. En ese caso, debes crear un CIDR para todo excepto 10.0.0.0/8, que es el siguiente:
   • 128.0.0.0/1
   • 64.0.0.0/2
   • 32.0.0.0/3
   • 16.0.0.0/4
   • 0.0.0.0/5
   • 12.0.0.0/6
   • 8.0.0.0/7
   • 11.0.0.0/8

Para crear la política de replicación de paquetes, ejecuta el siguiente comando:

  gcloud compute packet-mirrorings create NAME
      --network=vpc-x
      --filter-cidr-ranges=[128.0.0.0/1, 64.0.0.0/2, 32.0.0.0/3, 16.0.0.0/4, 0.0.0.0/5, 12.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8]
      --mirrored-subnets=[subnet-x]
      --mirrored-tags=[tag-x]
      --region=REGION
  

Haz los cambios siguientes:

• NAME: el nombre de la replicación de paquetes que se va a crear
• REGIONS: la región de la replicación de paquetes

Siguientes pasos

• Para consultar información conceptual, consulta la información general sobre Cloud IDS.
• Para configurar Cloud IDS, consulta Configurar Cloud IDS.